[fli4l] DMZ mit 3.10.3
Thomas Grunenberg
tho_gru at web.de
Sa Okt 3 08:26:12 CEST 2015
Moin, moin,
IP_NET_2 ist die DMZ.
pc06 ist der einzige Rechner in der DMZ.
Meine ursprünglichen PREROUTING Regeln waren fehlerhaft, obwohl das von
mkfli4l.bat nicht bemerkt wurde:
Alle Pakete (auch die aus dem LAN) an den UDP-Port 9987 wurden an pc06
geleitet.
Meine Konfiguration in 3.10.3 sieht nun so aus:
######################################
PF_INPUT_3='if:IP_NET_2_DEV:any usr-dmz-input'
PF_INPUT_3_COMMENT='INPUT rules for DMZ'
PF_FORWARD_3='if:IP_NET_2_DEV:any usr-dmz-forward BIDIRECTIONAL'
PF_POSTROUTING_2='IP_NET_2 MASQUERADE'
PF_PREROUTING_N='4' # DMZ: routing from PUBLIC to DMZ
PF_PREROUTING_1='prot:tcp any dynamic:22 DNAT:@pc06'
PF_PREROUTING_2='prot:tcp any dynamic:25565 DNAT:@pc06'
PF_PREROUTING_3='prot:tcp any dynamic:5190 DNAT:@pc06:25566'
PF_PREROUTING_4='prot:udp any dynamic:9987 DNAT:@pc06'
PF_USR_CHAIN_N='2' # number of user-defined rules
PF_USR_CHAIN_1_NAME='usr-dmz-input'
PF_USR_CHAIN_1_RULE_N='1'
PF_USR_CHAIN_1_RULE_1='tmpl:dns IP_NET_2 ACCEPT'
PF_USR_CHAIN_2_NAME='usr-dmz-forward'
PF_USR_CHAIN_2_RULE_N='2'
PF_USR_CHAIN_2_RULE_1='IP_NET_2 IP_NET_1 REJECT'
PF_USR_CHAIN_2_RULE_2='if:IP_NET_2_DEV:any IP_NET_2 ACCEPT'
######################################
Mit den obigen Regeln funktioniert der Zugriff sowohl auf meinen Team
Speak Server auf pc06 als auch auf die Team Speak Server im Internet.
Falls jemand Fehler in obiger Konfiguration sieht oder andere
Anmerkungen hat, freue ich mich darüber.
Gruß
Thomas
Mehr Informationen über die Mailingliste Fli4L